Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad de deserialización que afecta a Apache MINA SSHD (librería desarrollada en Java para soporte a protocolos SSH), que permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
La vulnerabilidad identificada como CVE-2022-45047, sin severidad ni puntuación asignada aún. Esta vulnerabilidad de deserialización se debe a un error existente en la clase “org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider” de Apache MINA SSHD al cargar una clave privada serializada. Un atacante podría aprovechar esta vulnerabilidad para realizar ejecución remota de código (RCE) en el sistema destino.
El producto afectado es:
- Apache MINA SSHD, versión 2.9.1 y anteriores.
Recomendamos acceder a la actualización provista de Apache MINA SSHD, en el siguiente enlace:
Adicionalmente, como solución temporal de la vulnerabilidad se recomienda tener en cuenta los siguientes métodos de mitigación:
- Para las versiones afectadas de Apache MINA SSHD evitar utilizar la clase “org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider” al momento de generar y cargar la clave de host del servidor.
- Utilizar archivos de claves de host en formato como OpenSSH, y cargarlo a través de la clase org.apache.sshd.common.keyprovider.FileKeyPairProvider.
- Utilizar una implementación que sea personalizada en comparación a la clase “SimpleGeneratorHostKeyProvider” por defecto.
Referencias: